Line มี หน่วยงานต่าง ๆ มากถึง 13 แห่งที่ตั้งอยู่ในไต้หวันและฟิลิปปินส์ได้รับการสิ้นสุดการโจมตี โดยแปดแห่งถูกโจมตีด้วยกระสุนปืน เหยื่อรายแรกของ rshell ถูกรายงานในช่วงกลางเดือนกรกฎาคม พ.ศ. 2564
Lucky Mouse หรือที่เรียกอีกอย่างว่า APT27, Bronze Union, Emissary Panda และ Iron Tiger เป็นที่รู้จักกันว่าเปิดใช้งานมาตั้งแต่ปี 2013 และมีประวัติในการเข้าถึงเครือข่ายเป้าหมายเพื่อแสวงหาเป้าหมายการรวบรวมข่าวกรองทางการเมืองและการทหารที่สอดคล้องกับจีน
ตัวแสดงภัยคุกคามแบบต่อเนื่องขั้นสูง (APT) ยังเชี่ยวชาญในการกรองข้อมูลมูลค่าสูงโดยใช้รากฟันเทียมแบบกำหนดเองที่หลากหลาย เช่น SysUpdate, HyperBro และ PlugX
การพัฒนาล่าสุดมีความสำคัญไม่น้อย เพราะถือเป็นความพยายามเบื้องต้นของผู้คุกคามในการกำหนดเป้าหมาย macOS ควบคู่ไปกับ Windows และ Linux
MiMi Chat App แคมเปญ Line นี้มีคุณสมบัติทั้งหมดของการโจมตีห่วงโซ่อุปทาน โดยที่เซิร์ฟเวอร์แบ็กเอนด์ที่โฮสต์โปรแกรมติดตั้งแอพของ MiMi นั้นถูกควบคุมโดย Lucky Mouse ทำให้สามารถปรับแต่งแอพเพื่อดึงแบ็คดอร์จากเซิร์ฟเวอร์ระยะไกลได้
สิ่งนี้เกิดขึ้นจากข้อเท็จจริงที่ว่า macOS เวอร์ชัน 2.3.0 ของแอพถูกดัดแปลงเพื่อแทรกโค้ด JavaScript ที่เป็นอันตรายในวันที่ 26 พฤษภาคม 2022 แม้ว่านี่อาจเป็นเวอร์ชันแรกของ macOS ที่ถูกบุกรุก แต่เวอร์ชัน 2.2.0 และ 2.2.1 สร้างขึ้นสำหรับ พบว่า Windows รวมส่วนเพิ่มเติมที่คล้ายกันตั้งแต่วันที่ 23 พฤศจิกายน พ.ศ. 2564
rshell เป็นแบ็คดอร์มาตรฐานที่มาพร้อมกับเสียงระฆังและนกหวีดปกติทั้งหมด ทำให้สามารถดำเนินการคำสั่งตามอำเภอใจที่ได้รับจากเซิร์ฟเวอร์ command-and-control (C2) และส่งผลลัพธ์ของการดำเนินการกลับไป เซิฟเวอร์.
ความปลอดภัยทางไซเบอร์
ไม่ชัดเจนในทันทีว่า MiMi เป็นโปรแกรมแชทที่ถูกกฎหมาย หรือถูก “ออกแบบหรือนำมาใช้ใหม่เป็นเครื่องมือในการเฝ้าระวัง” แม้ว่าแอพนี้จะถูกใช้โดยนักแสดงที่พูดภาษาจีนอีกคนที่ชื่อ Earth Berberoka (aka GamblingPuppet) ที่มุ่งเป้าไปที่เว็บไซต์การพนันออนไลน์ – อีกครั้งที่บ่งบอกถึงการแบ่งปันเครื่องมือที่แพร่หลายในกลุ่ม APT ของจีน
การเชื่อมต่อของการดำเนินการกับ Lucky Mouse เกิดจากลิงก์ไปยังคำสั่งที่ระบุก่อนหน้านี้ว่าถูกใช้โดยชุดการบุกรุกของ China-nexus และการใช้งาน HyperBro เป็นแบ็คดอร์ที่กลุ่มแฮ็กเกอร์ใช้โดยเฉพาะ